Samedi 12 Juillet 2025
Après une troisième version préliminaire rendue publique en mars dernier, la Commission européenne a dévoilé hier la version définitive du code de conduite pour les modèles d’IA à usage général (GPAI). Ce cadre, basé sur le volontariat, a pour but d'assister les fournisseurs dans leur mise en conformité avec les exigences de l'AI Act concernant ces modèles, exigences qui prendront effet le 2 août prochain.
Conçu par 13 experts indépendants, avec la participation de plus de 1 000 acteurs concernés (fournisseurs de modèles, PME, universitaires, experts en sûreté de l’IA, détenteurs de droits et organisations de la société civile), le code s'organise autour de trois axes principaux.
Les deux premiers axes du code, la transparence et le droit d’auteur, concernent l’ensemble des fournisseurs de modèles d’IA à usage général. Inversement, le troisième pan, dédié à la sûreté et à la sécurité, vise un ensemble plus restreint de modèles dits avancés, susceptibles de présenter des risques systémiques. Il s'agit en particulier de modèles à grande échelle tels que GPT-4 (OpenAI), Gemini (Google DeepMind) ou Claude (Anthropic), dont les capacités générales, la polyvalence et l’adaptabilité soulèvent des défis inédits en matière de supervision.
Les dangers systémiques identifiés comprennent, par exemple, la création de contenus extrêmement persuasifs ou mensongers, le contournement de systèmes de cybersécurité, la facilitation d’activités malveillantes, y compris dans les domaines chimique ou biologique, ou encore une perte de contrôle humain sur les conséquences des réponses produites. Dans ce contexte, le code recommande une série de pratiques de gestion des risques, allant de la robustesse technique à une surveillance humaine accrue.
Le volet transparence du code propose un formulaire de documentation simplifié qui permet aux fournisseurs de fournir aisément les informations requises en un seul endroit. Celui concernant le droit d'auteur leur propose des solutions pratiques pour mettre en place une politique conforme à la législation de l'UE en la matière.
La publication imminente des lignes directrices officielles, prévue avant la date limite du 2 août, devrait clarifier le champ d’application du texte et en préciser les modalités : qualification des GPAI, identification de leurs fournisseurs et évaluation du risque systémique.
Bien que l’entrée en vigueur des règles demeure fixée au début du mois prochain, malgré les demandes de suspension formulées par une cinquantaine d’acteurs de l’EU AI Champions Initiative, leur application concrète ne débutera qu’en août 2026 pour les nouveaux modèles, et en août 2027 pour les modèles existants. Cette progressivité, gérée par le Bureau de l’IA de la Commission, a pour objectif de donner aux entreprises le temps de s’adapter, tout en renforçant la crédibilité de l’approche européenne.
Bien que non contraignant, ce code se présente comme un outil de pré-conformité : les fournisseurs qui y adhèrent bénéficieront d’une simplification de leur charge administrative et d’une sécurité juridique accrue par rapport à ceux qui prouvent leur conformité par d'autres voies. Toutefois, son adoption volontaire soulèvera inévitablement la question du niveau réel d’adhésion de la part des fournisseurs de GPAI, notamment non-européens, à l’égard d’un cadre qui, tout en se voulant coopératif, introduit une complexité supplémentaire dans la chaîne de responsabilité.
Henna Virkkunen, vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie, déclare :
"La publication aujourd’hui de la version finale du code de bonnes pratiques pour l’IA à usage général représente une étape importante dans la mise à disposition en Europe de modèles d’IA les plus avancés, qui soient non seulement innovants, mais aussi sûrs et transparents. Co-conçu par les acteurs de l’IA, le code est adapté à leurs besoins. Par conséquent, j’encourage tous les fournisseurs de modèles d’IA à usage général à adhérer au code. Cela leur assurera une voie claire et collaborative vers le respect de la législation de l’UE sur l’IA".
